Ciberseguridad en el sector financiero

Se espera que el costo del cibercrimen aumente hasta los 8 billones de dólares para el 2023. Por esa razón, la inversión en medidas de ciberseguridad robustas para mantener seguros los activos críticos en el sector financiero se ha vuelto un tema prioritario para los Directorios de Gobiernos Corporativos.

¿Qué es la ciberseguridad?

La ciberseguridad es la práctica de proteger los sistemas conectados a internet, incluyendo hardware, software y datos, entregando protección contra una amplia gama de amenazas cibernéticas, como hacking, phishing y malware, así como garantizando la disponibilidad, la integridad y la confidencialidad de la información.

Las amenazas y los ciberataques más comunes en el sector financiero

Phishing

El phishing es una técnica utilizada por los ciberdelincuentes para obtener información confidencial, como contraseñas, números de tarjetas de crédito, información bancaria, entre otros, a través de correos electrónicos fraudulentos que parecen provenir de una fuente confiable, donde se llama a realizar una acción, por ejemplo, hacer clic sobre algún enlace y/o entregar algunos datos.

Malware Financiero

El malware financiero es un tipo de software malicioso que, una vez instalado en un dispositivo, permite a los cibercriminales robar información confidencial relacionada con las transacciones financieras de los stakeholders de la empresa. La información robada suele venderse en el mercado negro y posteriormente se utiliza para realizar transacciones fraudulentas.

Ransomware

Ransomware es un tipo de malware que bloquea o encripta los archivos del usuario, obligando a las víctimas a paralizar sus actividades. Los atacantes exigen un “rescate” para desbloquearlos, usualmente un pago en criptomonedas por ser estos más difíciles de rastrear, mientras amenazan con publicar o eliminar los archivos.

Es una de las principales amenazas de ciberseguridad actuales.

Estrategias de Ciberseguridad en el sector financiero

La transformación digital en las empresas sin duda ha sido un factor importante en el avance de la ciberseguridad en Perú, pues logró despertar el interés de una gran cantidad de usuarios respecto a la ciberamenazas, la prevención de ciberataques y sobre cómo luce un ciberataque a empresas facilitando, hasta cierto grado, una ejecución exitosa de diversas estrategias.

Aquí mencionamos las tres mejores estrategias de ciberseguridad que todo Directorio del sector financiero comenzará a desarrollar o potenciar en un corto plazo.

Prioridad en agenda del Directorio

La ciberseguridad pasa a ser el centro en la agenda del Directorio de Gobierno Corporativo.

Con el rápido avance en la tecnología y la comunicación, es imposible tener un sistema de ciberseguridad estático.

Por esta razón, el Directorio, como órgano ejecutivo, es el principal responsable de establecer y mejorar constantemente un Sistema de Gestión de Seguridad de la Información (SGSI-C) eficiente, previniendo así tanto las pérdidas económicas como el daño en la imagen de la empresa y los crímenes que podrían involucrar información confidencial de los stakeholders.

Según la Resolución SBS N° 504-2021, el Directorio debe:

• Aprobar políticas y lineamientos para la implementación del SGSI-C y su mejora continua.
• Asignar los recursos técnicos, de personal y financieros requeridos para su implementación y adecuado funcionamiento.
• Aprobar la organización, roles y responsabilidades para el SGSI-C, incluyendo los lineamientos de difusión y capacitación que contribuyan a un mejor conocimiento de los riesgos involucrados.

Para cumplir correctamente estas acciones, los miembros del Directorio deberán profundizar sus conocimientos sobre la ciberseguridad y colaborar con especialistas internos y socios externos en la materia.

Asimismo, tendrán que monitorear activamente el cumplimiento de estas directrices en la empresa, incluyendo a los miembros de Directorio. Esta una buena práctica que les permite experimentar y evaluar en persona cómo afectan sus decisiones al resto de los colaboradores.

Gestión de riesgos

La gestión de los riesgos de ciberseguridad en empresas financieras debe abordarse de manera sistemática y proactiva.

Para tener una gestión de riesgos adecuada, los profesionales encargados deben cumplir con los lineamientos dados por el Directorio, mientras monitorean, analizan, recopilan datos y proponen mejoras en:

• Identificación y evaluación los riesgos internos o externos.
• Puesta en marcha del plan de respuesta a incidentes de seguridad cibernética para garantizar que la empresa esté preparada para responder rápida y eficazmente.
• Fortalecimiento de las medidas de seguridad con el uso de herramientas tecnológicas y softwares especializados.
• Implementación de políticas y procedimientos de seguridad.
• Detección cualquier actividad sospechosa o incidentes de seguridad en los sistemas y las redes.
• Mantenimiento del cumplimiento normativo o Compliance.
• Ejecución de planes para la continuidad de las operaciones en caso de un incidente de seguridad cibernética.

Uso de tecnología y capacitación al respecto

En Congreso Iberoamericano de Seguridad de la Información “Segurinfo Perú 2022”, Eduardo Torres Llosa, gerente general del Banco Central de Reserva del Perú (BCRP), Es necesario apuntar que el desarrollo informático y los servicios tecnológicos están enfocados también en la mejora e innovación de los procesos internos y en brindar información para la toma de decisiones de la alta gerencia, por lo que es muy importante contar con soluciones especializadas de ciberseguridad.”

Ahora bien, es importante tener en cuenta que ninguna tecnología es infalible, por lo que se recomienda aplicar un enfoque de múltiples capas, combinando varias tecnologías de ciberseguridad para protegerse contra una amplia variedad de ciberamenazas.

En 2023, es posible adquirir nuevas tecnologías disponibles contra los ciberataques a empresas financieras, algunas de las más importantes son:

• Inteligencia Artificial para analizar grandes cantidades de datos y detectar patrones y actividades anómalas, lo que permite responder rápidamente a los ataques.
• Autenticación por multifactor y/o verificación en dos pasos que combina contraseñas, huellas dactilares, reconocimiento facial, SMS, entre otros, para mejorar la seguridad de las cuentas.
• Ciberseguridad cuántica para generar claves criptográficas más seguras.
• Sandboxing para ejecutar código potencialmente malicioso en un ambiente aislado para evitar que se propaguen en el sistema.
• Softwares GRC para uso exclusivo del Directorio con medidas de seguridad del mayor nivel en el mercado para evitar ataques contra la alta esfera de la empresa.

Factor “error humano” en la ciberseguridad

¿Sabías que, según un estudio de IBM, el error humano es la causa principal del 95% de las violaciones de la ciberseguridad?

Esto quiere decir que la implementación y la inversión en ciberseguridad puede terminar siendo un desperdicio si no va acompañada de:

• Plan de formación continua (en dosis pequeñas fáciles de entender) para los colaboradores de todos los niveles de la empresa, no solo aquellos con acceso directo a información de carácter “sensible”.
• Fomento de una cultura orientada a la seguridad.
• Canales de comunicación rápidos y aptos para resolución de dudas.
• Tiempo de esparcimiento o recuperación para disminuir los errores involuntarios debido al cansancio o fatiga mental en colaboradores que ya tienen conocimientos en la materia.

Por ejemplo: enviar un correo con datos confidenciales sin clave, clasificación y/o destinatario erróneo.

Para disminuir las consecuencias de errores humanos, es bueno utilizar limitadores de acceso o permisos granulares para que ningún colaborador pueda traspasar su área de trabajo y comprometer más información.

Disminuye el error humano en el Directorio

El Directorio deberá seleccionar un software GRC, también conocidos como portales de Gobierno Corporativo, cuyo socio o proveedor entregue un nivel de seguridad alto, que provea capacitación a los usuarios del portal y disponga de un equipo de apoyo para garantizar el éxito de la implementación y el uso a largo plazo.

Idealmente, con una interfaz amigable que facilite las tareas y que permita integrar herramientas con las que ya están familiarizado, como Zoom o Teams.

Asimismo, el software GRC tendrá que permitir un seguimiento de todas las acciones dentro del portal para que un usuario pueda corregir errores de inmediato sin comprometer datos confidenciales, denegar acceso a información según competencia, rastrear los documentos descargados y mucho más.

Para el Directorio, saber que utiliza un software sencillo, seguro y confiable en sus labores diarias no solo disminuirá la presión y la fatiga que suelen producir estos errores de ciberseguridad, también aumentará la productividad de este órgano y la confianza de sus stakeholders en su gestión de manera significativa.

 ¿Qué esperas para que tu Directorio disfrute de esta tranquilidad?

¡Solicita la demo gratuita e impulsa su eficiencia de la mano de Atlas!